2019년경부터 YouTuber를 대상으로 Cookie 도난 악성코드를 이용한 피싱공격이 이루어지고 있다고 Google의 Threat Analysis Group(TAG 위협분석 그룹)의 연구자가 발표했습니다. 이 공격은 러시아어권 포럼에서 모집된 여러 해커에 의해 행해지고 있는 것으로 드러났습니다.
Phishing campaign targets YouTube creators with cookie theft malware
https://blog.google/threat-analysis-group/phishing-campaign-targets-youtube-creators-cookie-theft-malware/
Hackers are hijacking YouTube influencer accounts with fake collabs - Protocol — The people, power and politics of tech
https://www.protocol.com/russian-hackers-youtube-phishing
Hackers are hijacking YouTube influencer accounts with fake collabs
Google's Threat Analysis Group released a blog post on Wednesday detailing their efforts to take down a phishing campaign targeted at YouTubers.
www.protocol.com
YouTube creators' accounts hijacked with cookie-stealing malwareSecurity Affairs
https://securityaffairs.co/wordpress/123630/hacking/youtube-creators-accounts-hijacked-malware.html
YouTube creators’ accounts hijacked with cookie-stealing malware
A Cookie Theft malware was employed in phishing attacks against YouTube creators, Google’s Threat Analysis Group (TAG) warns. Financially motivated threat actors are using Cookie Theft malware in phishing attacks against YouTube creators since late 2019.
securityaffairs.co
Cookie 도난은 브라우저에 저장되어 있는 세션 Cookie를 사용하여 계정에 대한 액세스를 가능하게 하는 공격으로 'pass-the-cookie 공격'이라고도 부릅니다. 이 수법은 이전부터 존재했는데 다중요소인증의 보급으로 소셜엔지니어링이 주요 공격수단으로 부상하면서 최근에 보안위험이 되고 있다고 합니다.
많은 YouTuber 채널이 이메일 주소를 게재해 협업제안을 받고 있습니다. 공격자는 기업으로 위장하여 YouTuber에게 협업을 의뢰하는 비즈니스 이메일을 보냅니다. 편지의 내용은 회사와 제품을 소개하는 것입니다만, 메일 본문과 첨부된 PDF 파일에는 악성코드의 다운로드 링크가 포함되어 있습니다.
공격자는 기업으로 위장하기 위해 다양한 도메인을 등록하고 악성코드 배포용 웹사이트를 작성하는데, 현시점에서 적어도 1011건의 위장 웹사이트가 확인되었습니다. 위장 웹사이트 중에는 Instagram과 게임판매 플랫폼 Steam, 신종 코로나바이러스 정보사이트로 위장한 것도 있다고 합니다. 또 YouTuber는 연락용으로 Gmail을 사용하고 있는 경우가 많은데 Gmail은 피싱링크를 감지하기 때문에 WhatsApp과 Telegram, Discord 등의 메시징앱으로 유도하는 경우도 있다고 합니다.
공격대상이 된 YouTuber가 위장 웹사이트에서 다운로드한 소프트웨어를 실행하면 세션 Cookie와 비밀번호를 도용하는 악성코드가 실행되어 공격자의 서버로 세션 Cookie를 업로드합니다. 일반적으로 이러한 악성코드는 YouTuber의 PC에서 영구적으로 작동할 수 있지만, 백신에 감지되지 않도록 일시적인 동작으로 제한되어 있다고 합니다.
공격자는 YouTuber 채널을 탈취하면 채널 이름과 프로필 사진, 콘텐츠를 모두 암호화자산 사기용 브랜드로 변경합니다. 그리고는 주요 기술기업과 암호화자산 거래소를 가장하면서 '일정액을 지불하면 암호화자산을 선물한다'고 선전하는 동영상을 라이브방송합니다.
Google에 따르면, 일련의 채널의 탈취 관련 구인정보가 러시아어권의 사이버포럼에 게재되어 있는 것을 확인했다고 합니다. 다양한 해커를 고용하여 수법도 다양하게 진화하고 있다고 Google은 설명합니다. 또 암시장에 존재하는 계정거래에서는 YouTuber의 채널 구독자 수에 따라 3달러(약 3300원)에서 4000달러(약 440만 원)의 가격에 거래되고 있다고 합니다.
Google은 '피싱메일이나 Cookie 도난에 의한 체널탈취, 암호화자산 사기 라이브방송을 탐지하고 차단', '위장 웹사이트 및 악성코드의 다운로드를 탐지하고 차단', '채널 전송의 워크플로우를 강화하고 탈취된 채널의 99% 이상을 감지하고 복구', '계정인증 워크플로우를 강화하고 수상한 행동을 차단한 후 사용자에게 통지' 등의 조치로 채널의 탈취를 처리했다고 보고했습니다.
Google은 공격으로부터 채널을 지키기 위한 방법으로 아래의 다섯 가지 조치를 권고합니다.
· 세이프 브라우징의 경고를 무시하지 않는다.
· 소프트웨어를 실행하기 전에 바이러스 검사를 실행하여 소프트웨어의 정당성을 확인한다.
· Chrome의 세이프 브라우징 설정에서 '보호 강화 기능'을 활성화한다.
· 암호화된 아카이브에 주의한다.
· 2단계인증을 활성화하여 계정을 보호한다.
'IT' 카테고리의 다른 글
| 4년 만에 실시되는 비트코인의 대형 업데이트 'Taproot'란? (0) | 2021.11.17 |
|---|---|
| 세계 최초의 'USB Type-C 포트 탑재 iPhone'이 약 1억 원에 낙찰되다 (0) | 2021.11.15 |
| 비트코인을 붕괴시키는 51% 공격은 불과 50명으로 실행 가능 (0) | 2021.10.27 |
| 1억 7800만 명의 데이터를 수집해 판매한 프로그래머를 Facebook이 제소 (0) | 2021.10.26 |
| 5조 9000억 원 가량의 비트코인 거래가 랜섬웨어와 관련 있다고 미 재무부가 보고 (0) | 2021.10.19 |
| 과거 악성코드를 개발하던 업체가 VPN서비스를 잇달아 인수 (0) | 2021.10.16 |
| Samsung과 Xiaomi 스마트폰은 대량의 사용자데이터를 자사와 다른 기업에 보내는 것으로 판명 (0) | 2021.10.13 |
| 밤낮을 가리지 않고 큰 소리로 댄스를 즐기는 중장년집단을 격퇴하기 위한 장치 (0) | 2021.10.13 |
